Что нужно для защиты локальной сети банка?

Делаем курсач по безопасности вычислительных сетей. Собственно, нам в общем-то не объясняли ни сети, ни их защиту. Мы не сетевые инженеры, первый раз с таким сталкиваемся. Организация - небольшой банк, головной офис и несколько филиалов. Изначально мы спроектировали сеть банка "до", то есть просто сеть без всякой защиты в Cicso Pocket Tracer. Сеть элементарная. И теперь нам нужно спроектировать эту сеть в GNS3, но уже в защищенном варианте. Стандартная архитектура - зоны LAN, DMZ, WAN, разделены межсетевым экраном. Все оборудование Cisco (свитчи и роутеры). LAN-зона - несколько VLANов с обычными компами сотрудников, DMZ-зона - планируется сервер на убунту для сайта и почты, и WAN-зона с роутером для выхода в интернет. Связь с филиалами планируется организовать через IPSec туннели. В качестве межсетевого экрана был выбран FortiGate по двум причинам - наличие образа для GNS3 и обилие обучающих материалов. Он представляет собой NGFW с двумя режимами profile-based и policy-based. На данный момент мы решили организовать все с помощью режима политик. Собственно эти политики позволяют настроить кому, что и куда можно/нельзя. Вопрос в том, будет ли этого достаточно? Что еще нужно добавить (желательно, чтобы это было реализуемо в gns3).
  • Вопрос задан
  • 424 просмотра
Решения вопроса 2
@res2001
Developer, ex-admin
В банковской сети, обычно, есть сегменты к которым ограничен доступ со стороны локальной сети. Доступ к компам в этой сети имеет ограниченный круг лиц, помещения под своей сигнализацией и т.п. Они стоят за своим собственным фаерволом и помещены в отдельную VLAN, но поскольку из этой подсети может требоваться доступ к банковским ресурсам, то средствами фаервола разрешается доступ по определенным фиксированным адресам.

Иногда бывает, что некоторые сегменты сети физически отделены от интернет, т.е. используется отдельная кабельная сеть и отдельные коммутаторы никак не связанные с интернет ни через шлюз ни через что-то другое.

С удаленными офисами связь предпочтительно делать не через интернет, а на базе какого-то оператора связи (или нескольких) формировать собственную корпоративную сеть. Трафик в такой сети передается через ВПН в шифрованном виде. Если какие-то удаленные офисы невозможно подключить к корпоративной сети, то используют интернет + ВПН. ВПН по уму должен строится с использованием сертифицированных средств.

В сети развернуты DLP системы, особенно это касается компов в изолированных подсетях.
Наличие антивируса, корпоративного фаервола - само собой разумеющиеся вещи.
Ответ написан
firedragon
@firedragon
Senior .NET developer
Совет максимально общий но зайдите на сайт циско там есть наиболее употребимые конфигурации сетей. Выберите максимально похожую и вставляйте перевод в свой курсовой проект
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
>Что нужно для защиты локальной сети банка?
Многое. Начинать с найма соответствующих специалистов :)
ЗЫ Касательно "лабораторной" - инфраструктура CA внутренняя потребуется: все самоподписные сертификаты оборудования, серверов и рабочих станций менять на собственного выпуска, инспекцию SSL на FortiGate делать, VPN и 802.1X настраивать, и еще для многих вещей - в банке он есть в обязательном порядке.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы